从系统入手加强远程控制的安全

(2).部署IPSEC数据包过滤

配置输入筛选器：只允许来自PPTP VPN客户端的入站通信，操作如下：

第一步：依次执行“开始→程序→管理工具”，打开“路由和远程访问”窗口。在其控制台的左侧窗口依次展开“服务器名(本地)→IP路由选择”，然后单击“常规”在右侧窗格中双击“本地连接”，打开“本地连接属性”对话框。

图9

第二步：在“常规”选项卡中单击“入站筛选器”，然在打开的“入站筛选器”对话框中点击“新建”按钮，打开“添加IP筛选器”对话框。勾选“目标网络”复选框，在“IP地址”编辑框中键入该外部接口的IP地址，在“子网掩码”编辑框中键入“255.255.255.255”，在“协议”框下拉菜单中选中“TCP”协议，在弹出的“目标端口”框中键入端口号“1723”，然后单击“确定”按钮。

图10

第三步：回到“入站筛选器”对话框，点选“丢弃所有的包，满足下列条件的除外”单选框，然后反单击“新建”按钮，勾选“目标网络”复选框。在“IP地址”编辑框中键入该外部接口的IP地址，在“子网掩码”编辑框中键入“255.255.255.255”，在“协议”框下拉菜单中选中“其他”，在“在协议号”框中键入“47”，最后依次单击“确定”按钮完成设置。